В приложении AirDroid нашли серьезную критическую уязвимость

Если вы пользуетесь приложением AirDroid – самое время перестать это делать, вам следует знать, что в нем обнаружена серьезная уязвимость. Минимум последние шесть месяцев протокол обмена данными между веб-интерфейсом управления Android-смартфоном и самим устройством предоставлял злоумышленникам доступ к данным пользователя и позволял им выполнять код приложений. Об этом сообщила компания Zimperium, специализирующейся на мобильной безопасности.

Напомним, что сервис AirDroid позволяет получать доступ и управлять смартфоном или планшетом на Android с компьютера на Windows или Mac, а также через Интернет. Также с его помощью можно отвечать на звонки и сообщения, поступившие на девайс, прямо на экране компьютера.

Как выяснилось, связь между устройствами по AirDroid осуществляется по незащищенному каналу. Хакеры, которые находятся в той же сети, что и AirDroid, могли получить уникальные идентификаторы телефона (IMEI) и абонента (IMSI), мониторить действия и трафик пользователя, запускать установку приложений.

Благодаря уязвимости, злоумышленник может выдавать себя за устройство жертвы, чтобы выполнить любые HTTP — или HTTPS-запросы и удаленно запустить вредоносный код на чужом смартфоне или планшете. Когда AirDroid сообщит пользователю о доступности обновления для установки, приложение загрузит вредоносный apk-файл, указанный злоумышленником, а “жертва”, ничего не подозревая, установит ее на свое устройство. Это может иметь серьезные последствия для тех, кто использует AirDroid через незащищенную сеть Wi-Fi.

Несмотря на то, что разработчики AirDroid узнали об этой уязвимости от Zimperium еще в мае, они до сих пор ее не устранили. Самая новая версия AirDroid все еще уязвима к хаку – а значит, от 10 до 50 миллионов устройств подвержены опасности.

Источник информации: AndroidAuthority

По материалам Ua Format